网络安全分析师处于这场战斗的最前线,他们在安全运营中心(SOC,负责保护组织免受网络威胁的部门)昼夜不停地工作,筛选海量数据并监控潜在的安全事件。
他们面临着来自不同来源的大量信息流,从网络日志到威胁情报源,试图阻止下一次攻击。简而言之,他们不堪重负。然而,数据太多从来都不是人工智能的问题,因此许多专家希望利用人工智能来加强网络安全战略并减轻分析师的压力。
南加州大学信息科学研究所(ISI)网络和网络安全部门战略总监StephenSchwab设想人类和人工智能组成共生团队,共同合作提高安全性,以便人工智能能够协助分析师并提高他们在这些高风险环境中的整体表现。Schwab和他的团队已经开发了测试平台和模型,以研究小型系统(例如保护社交网络)中的人工智能辅助网络安全策略。“我们正努力确保机器学习过程可以缓解但不增加这些担忧,并减轻人类分析师的工作量,”他说。
ISI网络和网络安全部门副总监DavidBalenson强调了自动化在减轻网络安全分析师负担方面的关键作用。“SOC收到大量警报,分析师必须实时快速分析这些警报,并确定哪些是真实事件的症状。这就是人工智能和自动化发挥作用的地方,它们可以发现可能是潜在事件的警报趋势或模式,”Balenson说。
寻求透明度和可解释性
然而,将人工智能融入网络安全运营并非没有挑战。主要问题之一是许多人工智能驱动的系统缺乏透明度和可解释性。“机器学习(ML)可用于监控人类分析师疲惫不堪的网络和终端系统,”施瓦布解释说。“但它们是一个黑匣子——它们可能会发出看似无法解释的警报。
可解释性的作用就在于此,因为人类分析师必须相信ML系统在合理范围内运行。”Schwab提出的解决方案是构建解释器,用分析师能够理解的计算机化英语(类似于自然语言)呈现ML系统的操作。ISI首席科学家MarjorieFreedman正在研究这个问题。“我一直在研究生成解释的含义以及你希望从解释中得到什么。我们还在探索解释如何帮助人们验证模型的生成,”她说。
标记的艺术
网络安全领域人工智能决策的一个例子是在线身份验证过程。在向系统进行身份验证时,用户输入密码或PIN码。然而,不同的人输入数据的模式不同,即使输入的代码正确,人工智能也可能会标记出来。
这些“潜在可疑”模式可能实际上不是安全漏洞,但人工智能仍会将其考虑在内。如果在标记它们的同时,向人类分析师提供解释器,将输入模式列为标记的原因之一,分析师将更好地理解人工智能决策背后的原因。有了这些额外的信息,分析师可以做出更明智的决策并采取适当的行动(即验证或推翻人工智能的决定)。弗里德曼认为,网络安全运营应该运行他们最好的机器学习模型来预测、识别和应对威胁,同时采取向专家有效解释决策的方法。
“如果有人要关闭一个会给公司带来巨额损失的系统,那么这是一个高风险的情况,我们必须确认这是正确的决定,”弗里德曼说。“解释器可能不是人工智能对其如何做到这一点的推导,但它可能是人类分析师需要知道的,以确定它是否正确。”
确保数据安全和私密
虽然人类分析师和机器之间的信任是人工智能在网络安全方面面临的一个挑战,但相信人工智能所训练的敏感或专有信息将保持私密是另一个挑战。”例如,为了训练机器学习模型以保证数据安全或保护系统,组织可能会使用操作细节或安全漏洞。
在将人工智能融入网络安全运营时,这种有关组织网络态势的敏感信息的潜在暴露是一个令人担忧的问题。“一旦你将信息放入大型语言模型等系统中,即使你试图删除它,也不能保证你能成功阻止它讨论这些信息。我们需要寻找让共享空间对所有人都安全的方法,”施瓦布说。
施瓦布、弗里德曼和ISI团队希望他们的工作能够带来新的方法,利用人类和人工智能的优势来加强网络防御,领先于复杂的对手,并减轻SOC的压力。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!